You are not allowed to view links.
Register or
LoginSe ha lanzado un código de exploit para una vulnerabilidad crítica que afecta a los dispositivos de red con el sistema en un chip (SoC) RTL819x de Realtek, que se estima en millones.
La falla se identifica como
CVE-2022-27255 y un atacante remoto podría explotarla para comprometer dispositivos vulnerables de varios fabricantes de equipos originales (OEM), desde enrutadores y puntos de acceso hasta repetidores de señal.
Investigadores de la empresa de ciberseguridad Faraday Security en Argentina descubrieron la vulnerabilidad en el SDK de Realtek para el sistema operativo de código abierto eCos y revelaron los detalles técnicos la semana pasada en la conferencia de hackers DEFCON.
Los cuatro investigadores (Octavio Gianatiempo, Octavio Galland, Emilio Couto, Javier Aguinaga) a los que se atribuye el hallazgo de la vulnerabilidad son estudiantes de informática de la Universidad de Buenos Aires.
Su presentación cubrió todo el esfuerzo que llevó a encontrar el problema de seguridad, desde elegir un objetivo hasta analizar el firmware y explotar la vulnerabilidad, y automatizar la detección en otras imágenes de firmware.
CVE-2022-27255 es un desbordamiento de búfer basado en pila con una puntuación de gravedad de 9,8 sobre 10 que permite a los atacantes remotos ejecutar código sin autenticación mediante el uso de paquetes SIP especialmente diseñados con datos SDP maliciosos.
Realtek abordó el problema en marzo y señaló que afecta a las series rtl819x-eCos-v0.x y rtl819x-eCos-v1.x y que podría explotarse a través de una interfaz WAN.
Los cuatro investigadores de Faraday Security han desarrollado un código de exploit de prueba de concepto (PoC) para CVE-2022-27255 que funciona en los enrutadores Nexxt Nebula 300 Plus.
También compartieron un video que muestra que un atacante remoto podría comprometer el dispositivo incluso si las funciones de administración remota están desactivadas.
Los investigadores señalan que
CVE-2022-27255 es una vulnerabilidad de cero clics, lo que significa que la explotación es silenciosa y no requiere interacción por parte del usuario.
Un atacante que explote esta vulnerabilidad solo necesitaría la dirección IP externa del dispositivo vulnerable.
Pocas líneas de defensaJohannes Ullrich, decano de investigación de SANS, dice que un atacante remoto podría aprovechar la vulnerabilidad para las siguientes acciones:
bloquear el dispositivo
ejecutar código arbitrario
establecer puertas traseras para la persistencia
redirigir el tráfico de red
interceptar el tráfico de la red
Ullrich advierte que si un exploit para
CVE-2022-27255 se convierte en un gusano, podría propagarse por Internet en minutos.
A pesar de que un parche está disponible desde marzo, Ullrich advierte que la vulnerabilidad afecta a "
millones de dispositivos" y que es poco probable que una solución se propague a todos los dispositivos.
Esto se debe a que varios proveedores utilizan el SDK vulnerable de Realtek para equipos basados en SoC RTL819x y muchos de ellos aún no han publicado una actualización de firmware.
No está claro cuántos dispositivos de red usan chips RTL819x, pero la versión RTL819xD del SoC estaba presente en productos de más de 60 proveedores. Entre ellos ASUSTek, Belkin, Buffalo, D-Link, Edimax, TRENDnet y Zyxel.
El investigador dice que:
Los dispositivos que usan firmware construido alrededor del Realtek eCOS SDK antes de marzo de 2022 son vulnerables
Eres vulnerable incluso si no expones ninguna funcionalidad de la interfaz de administración
Los atacantes pueden usar un solo paquete UDP en un puerto arbitrario para aprovechar la vulnerabilidad
Es probable que esta vulnerabilidad afecte más a los enrutadores, pero algunos dispositivos IoT construidos alrededor del SDK de Realtek también pueden verse afectados.
Ulrich creó aquí una regla de Snort que puede detectar el exploit PoC. Busca mensajes "INVITE" con la cadena "m=audio" y se activa cuando hay más de 128 bytes (tamaño del búfer asignado por Realtek SDK) y si ninguno de ellos es un retorno de carro.
Los usuarios deben verificar si su equipo de red es vulnerable e instalar una actualización de firmware del proveedor lanzada después de marzo, si está disponible. Aparte de esto, las organizaciones podrían intentar bloquear las solicitudes UDP no solicitadas.
Las diapositivas para la presentación de DEFCON junto con exploits y un script de detección para CVE-2022-27255 están disponibles en este repositorio de GitHub:
You are not allowed to view links.
Register or LoginFuente:
BleepingComputer
You are not allowed to view links.
Register or Login
This site uses cookies own and third. If you continue to browse consider to accept the use of cookies.